Pular para o conteúdo
>_ITDITDPlataforma de Segurança Web
tag

dependency management

4 artigos com esta tag

2026-07-02

Segurança do Express (Node.js) — as defesas que você mesmo adiciona

O Express é minimalista — ele traz quase nenhum recurso de segurança por padrão, então as defesas são as que o desenvolvedor adiciona. O essencial: (1) cabeçalhos de segurança (estilo helmet), (2) validação e sanitização de entrada, (3) autorização com escopo de proprietário, não apenas autenticação, (4) rate limiting (força bruta / DoS), (5) monitoramento de CVEs de dependências (npm) e correção rápida. Além de proteção contra SSRF em buscas de URL de saída e segredos mantidos em variáveis de ambiente, fora do código. A liberdade de um framework mínimo vem com a responsabilidade de defender.

2026-07-02

Segurança do Next.js — Server Actions, variáveis de ambiente e CVEs de dependências

O Next.js traz padrões bastante seguros, mas os incidentes acontecem na fronteira servidor/cliente. Os três grandes: (1) exposição de variáveis de ambiente (uso incorreto de NEXT_PUBLIC_ ou envio de segredos server-only ao cliente), (2) autorização ausente em Server Actions / Route Handlers (autenticado mas sem escopo de dono), e (3) CVEs de dependências conhecidas (incluindo RCE no núcleo do framework — julgue pela versão em execução e corrija rápido). Defesas: mantenha segredos no servidor, cuide da fronteira, autorize em cada action, monitore CVEs de dependências por máquina.

2026-07-02

Segurança do Ruby on Rails — Strong Parameters, autorização e CVEs de gems

O Rails entrega convenções e padrões seguros (proteção CSRF, Strong Parameters, um ORM) e é sólido quando usado corretamente. Mas os incidentes vêm da operação. Os três grandes: (1) Strong Parameters permissivo demais permitindo Mass Assignment (sobrescrevendo is_admin, etc.), (2) autorização rasa (login = autenticação, mas sem escopo de proprietário), (3) CVEs conhecidos de gems (dependências). Além de SQLi via interpolação de string em where, métodos dinâmicos perigosos (send/constantize) e credentials/secret_key_base vazados. Defesas: aperte o permit, torne a autorização explícita, monitore CVEs de gems.

2026-07-02

Segurança do Spring Boot — CVEs de dependências, exposição do Actuator e autorização

O Spring (Spring Boot) é um pilar corporativo. Tipos de incidente: (1) CVEs de dependências conhecidas (uma falha de base amplamente herdada como o Log4Shell — julgue pela versão em execução e corrija rápido), (2) endpoints de gerenciamento/diagnóstico expostos como o Actuator (vazamento de informação / operação), (3) autorização ausente no Spring Security (autenticado mas com checagens de permissão fracas), (4) desserialização insegura. Defesas: monitore CVEs de dependências por máquina e corrija rápido, tranque as superfícies do Actuator/gerenciamento, torne a autorização explícita, não desserialize dados não confiáveis.